Best Practice: AdGuard Home & unbound als DNS-Server

[Benares]

Ich meinte damit, dass dein Provider nicht dein Surf-Verhalten anhand deiner Namensauflösungen verfolgen kann.

 

[Ghost108]

ja dein Provider vielleicht nicht, aber was ist mit den öffentlichen DNS Servern?
hier wird es eigentlich ganz gut beschrieben (https://www.youtube.com/watch?v=sglbR68oW4c&t=937s)
Allerdings nicht die hyperlocal Variante. Aber zumindest schon mal die Info wie Adguard mit Unbound funktioniert

 

[Benares]

Jeder sähe ja nur einen kleinen Teil meiner Anfragen.

 

[plang.pl]

Wenn man das mit dem Hyperlocal nicht möchte, kann man folgenden Teil in der config-Datei des unbound auskommentieren / herauslöschen:

    auth-zone:
    name: "."
    master: "b.root-servers.net"
    master: "c.root-servers.net"
    master: "d.root-servers.net"
    master: "f.root-servers.net"
    master: "g.root-servers.net"
    master: "k.root-servers.net"
    url: https://www.internic.net/domain/root.zone
    fallback-enabled: yes
    for-downstream: no
    for-upstream: yes
    zonefile: "/opt/unbound/etc/unbound/auth-zone/root.zone"

Dafür dann den Teil darunter wieder aktiv schalten, indem man die # am Beginn der Zeile rauslöscht:

    #forward-zone:
    #name: "."
    #forward-tls-upstream: yes

    # SecureDNS.eu
    #forward-addr: 146.185.167.43@853#dot.securedns.eu
    #forward-addr: 2a03:b0c0:0:1010:e9a:3001@853#dot.securedns.eu

    # Quad9
    #forward-addr: 9.9.9.9@853#dns.quad9.net
    #forward-addr: 149.112.112.112@853#dns.quad9.net
    #forward-addr: 2620:fe::fe@853#dns.quad9.net
    #forward-addr: 2620:fe::9@853#dns.quad9.net

Wenn man das tut, befragt man nach einem Neustart des unbound-Containers via DNS-over-https die Server von Quad9 und SecureDNS.

Ich habe das in der Anleitung ergänzt.

 

[Tuxnet]

Also irgendwie klappt das nicht bei mir

Habe die docker-compose von dir genommen

/opt/unbound/etc/unbound/unbound.conf:28: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'fc00'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword '/7'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'allow'
/opt/unbound/etc/unbound/unbound.conf:31: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword 'fe80'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword '/10'
read /opt/unbound/etc/unbound/unbound.conf failed: 11 errors in configuration file
[1696961873] unbound[1:0] fatal error: Could not read config file: /opt/unbound/etc/unbound/unbound.conf. Maybe try unbound -dd, it stays on the commandline to see more errors, or unbound-checkconf
/opt/unbound/etc/unbound/unbound.conf:28: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'fc00'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword '/7'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'allow'
/opt/unbound/etc/unbound/unbound.conf:31: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword 'fe80'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword '/10'
read /opt/unbound/etc/unbound/unbound.conf failed: 11 errors in configuration file
[1696961881] unbound[1:0] fatal error: Could not read config file: /opt/unbound/etc/unbound/unbound.conf. Maybe try unbound -dd, it stays on the commandline to see more errors, or unbound-checkconf

 

[plang.pl]

Hast du auch den Part mit dem allow R/W für everyone in der FileStation durchgezogen?

 

[Tuxnet]

Ja, habe es mehrfach probiert,
immer wieder kommen diese Fehlermeldungen

 

[plang.pl]

Ich hab das selbst mit der neuen Config noch gar nicht als Clean-Install versucht. Und bei mir läuft das nicht auf einer DS. Aber ich fahr mal eben meine Test-vDSM hoch und teste den compose. Moment

 

[plang.pl]

Sorry, hat weng gedauert. "Musste" auf der vDSM Maschine erstmal ein DSM und Container Manager Update machen, damit ich auf demselben Stand wie du bin. Ergebnis: Ich habe die gleichen Fehler. Muss mal kucken, irgendwas stimmt da in der Confg nicht. Oder mit dem Container Manager. Ich habe nämlich die gleichen Fehler erhalten. Auf meinem Linux-Server passiert das nicht. Ich bin dran...

 

[plang.pl]

Gefixt!
Hat sich ein Syntax-Fehler in der Config eingeschlichen. Hatte nur

    access-control: fd00::/8
    access-control: fe80::/10

für die erlaubten IPv6 Adressen reingeschrieben. Es muss aber

    access-control: fd00::/8 allow
    access-control: fe80::/10 allow

heißen.
Habs nun angepasst und die Datei im zip aktualisiert.
Danke @Tuxnet fürs Testen und "Fehler bemerken".
Ich würde dir gerne hier nur die conf nochmal anhängen, das geht aber nicht, da das Forum nur zip als Anhang akzeptiert. Also bitte neu die unbound.conf aus dem aktualisierten Zip im Post #1 entpacken und ersetzen. Dann ist der Fehler weg.

EDIT: Bei mir ist der Fehler nicht aufgetreten, da ich IPv6 im Heimnetz aus habe und entsprechend die IPv6 Allow-Regeln auskommentiert hatte.

 

[Tuxnet]

Kann dass momentan nicht testen,
, hier die Fehlermeldung

/opt/unbound/etc/unbound/unbound.conf:28: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'fc00'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword '/7'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'allow'
/opt/unbound/etc/unbound/unbound.conf:31: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword 'fe80'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword '/10'
read /opt/unbound/etc/unbound/unbound.conf failed: 11 errors in configuration file
[1697023137] unbound[1:0] fatal error: Could not read config file: /opt/unbound/etc/unbound/unbound.conf. Maybe try unbound -dd, it stays on the commandline to see more errors, or unbound-checkconf
/opt/unbound/etc/unbound/unbound.conf:28: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'fc00'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword '/7'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'allow'
/opt/unbound/etc/unbound/unbound.conf:31: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword 'fe80'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword '/10'
read /opt/unbound/etc/unbound/unbound.conf failed: 11 errors in configuration file
[1697023142] unbound[1:0] fatal error: Could not read config file: /opt/unbound/etc/unbound/unbound.conf. Maybe try unbound -dd, it stays on the commandline to see more errors, or unbound-checkconf
/opt/unbound/etc/unbound/unbound.conf:28: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'fc00'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword '/7'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'allow'
/opt/unbound/etc/unbound/unbound.conf:31: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword 'fe80'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword '/10'
read /opt/unbound/etc/unbound/unbound.conf failed: 11 errors in configuration file
[1697023148] unbound[1:0] fatal error: Could not read config file: /opt/unbound/etc/unbound/unbound.conf. Maybe try unbound -dd, it stays on the commandline to see more errors, or unbound-checkconf
/opt/unbound/etc/unbound/unbound.conf:28: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'fc00'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword '/7'
/opt/unbound/etc/unbound/unbound.conf:28: error: unknown keyword 'allow'
/opt/unbound/etc/unbound/unbound.conf:31: error: expected deny, refuse, deny_non_local, refuse_non_local, allow, allow_setrd, allow_snoop or allow_cookie as access control action
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword 'fe80'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: stray ':'
/opt/unbound/etc/unbound/unbound.conf:31: error: unknown keyword '/10'
read /opt/unbound/etc/unbound/unbound.conf failed: 11 errors in configuration file
[1697023155] unbound[1:0] fatal error: Could not read config file: /opt/unbound/etc/unbound/unbound.conf. Maybe try unbound -dd, it stays on the commandline to see more errors, or unbound-checkconf

 

[update-freak]

mit der aktualisierten Anleitung bekomme ich bei meinem DS716+diese Fehlermeldung:

[1697042207] unbound[1:0] warning: so-rcvbuf 1048576 was not granted. Got 425984. To fix: start with root permissions(linux) or sysctl bigger net.core.rmem_max(linux) or kern.ipc.maxsockbuf(bsd) values.
Fatal glibc error: cannot get entropy for arc4random

 

[plang.pl]

hier die Fehlermeldung

Das sollte ja nun mit der aktualisierten conf-Datei behoben sein.
@update-freak
Auf meiner Test-DSM Maschine lief das auf Anhieb problemlos.
Versuche mal, folgende Zeile in der conf-Datei auszukommentieren oder zu löschen:
so-rcvbuf: 1m

 

[Benares]

Ich frag mich, was in Zeile 28 und 31 steht?
Hint: ":set nu" schaltet in vi die Zeilennummerung ein, ":set nonu" wieder aus.

 

[plang.pl]

Was meinst du? Sind beides allow-Regeln für den privaten IP Adressraum.

 

[Tuxnet]

Ich bekomme deiner Version einfach nicht zum laufen

 

[plang.pl]

Hast du das Zip noch mal neu geladen? Wie gesagt, wurde da die config Datei aktualisiert, weil ein Syntax-Fehler vorhanden war.

 

[Tuxnet]

Ja, habe den kompletten Order gelöscht, und die zip neu entpackt

 

[plang.pl]

Sicher, dass der Container immer noch neue Logeinträge schreibt, oder siehst du eventuell einfach nur noch die alten Einträge?
Wenn es immer noch der gleiche Fehler ist, kann das eigentlich nicht sein, denn der wurde ja behoben.
Erstelle mal zumindest alles neu, was zu unbound gehört (den Container und die Daten im Dateisystem)

 

[update-freak]

Das sollte ja nun mit der aktualisierten conf-Datei behoben sein.
@update-freak
Auf meiner Test-DSM Maschine lief das auf Anhieb problemlos.
Versuche mal, folgende Zeile in der conf-Datei auszukommentieren oder zu löschen:
so-rcvbuf: 1m

Danke für den Hinweis. Damit ist die eine Fehlermeldung verschwunden, dass nur noch "Fatal glibc error: cannot get entropy for arc4random" vorhanden ist. Könnte wie bei FreeFileSync Docker (https://github.com/jlesage/docker-freefilesync/issues/8) an einem veralteten Kernel (Linux NAS 3.10.108 #64570) im Zusammenhang mit "get entropy" liegen vermute ich mal.